Annak ellenére, hogy a szervezet arra törekszik, hogy hibátlanul működő és biztonságos szolgáltatást hozzon létre, a szoftverhibák előfordulhatnak és előfordulhatnak, és néhányuk súlyosabb, mint mások.


Időnként ezeket a hibákat a legtapasztaltabb biztonsági csapatok is észrevehetik, esetleg olyan terméket eredményezve, amely veszélyezteti a felhasználói digitális biztonságot, és kiberuházásoknak teszi ki őket. Számos vállalat bug bounty programokat hozott létre a kiberbiztonsági kutatók felkutatására, hogy segítsék őket olyan biztonsági rések felkutatásában, amelyek rendszereikben észrevétlenül bukkanhatnak fel..

Alapvetően a kutató (etikailag) behatol a szállító rendszerébe, hogy megpróbálja kihasználni a létező sebezhetőségeket. Ha a kutató felfedezi a sebezhetőséget, amely elég jelentős kockázatot jelent, akkor a kutató több száz dollár vagy akár több százezer dollár értékű hibabénakat is gyűjthet, a felfedezett hiba súlyosságától függően. A kóros fejvadászok gyakran fellépnek a kiberbiztonságot tartó szervezetek nem énekelt hőségeiként, és elszámoltathatók a fogyasztók digitális biztonsága érdekében..

Mi történik azonban akkor, ha egy szervezet nem ért egyet a kiberbiztonsági kutatóval a kutató által feltárt sebezhetőség súlyosságáról? Mi történik, ha egy szervezet megkísérel elkerülni az elszámoltathatóságot azáltal, hogy megtiltja a kutatót az eredmények nyilvános nyilvánosságra hozataláról, vagy csak abban az esetben vállalja, hogy fizet egy hibahibát, azzal a feltétellel, hogy a kutató nyilvánosan elhallgatja a sebezhetőséget? Amikor ez megtörténik, a fogyasztók digitális biztonsága és személyes magánélete komolyan veszélybe kerülhet.

A hibajavaslati programok elengedhetetlenek a felhasználók által minden nap használt szoftvereket és alkalmazásokat futtató rendszerek biztonságos és megfelelő működésének biztosításához. Ösztönzik a kiberbiztonsági kutatókat és az etikus hackereket, hogy lépjenek fel és találjanak sebezhetőségeket. Magától értetődik, hogy a bug bounty vadászoktól a titoktartási megállapodás (NDA) aláírása is fontos és hatékony módja annak, hogy megakadályozzuk az esetlegesen súlyos sérülékenységek nyilvános felfedezését és kiaknázását, mielőtt azok helyrehozásra kerülnének..

Ugyanakkor az NDA olyan rendelkezései, amelyek megakadályozzák a kutatót a sebezhetőség nyilvános nyilvánosságra hozatalában, például kevés ösztönzést adhatnak a vállalatnak a hiba helyes kezelésére, és a felhasználókat különféle számítógépes fenyegetéseknek tehetik ki.

A biztonsági kutatók és a hibás fejvadászok nagy munkát végeznek azzal, hogy a társaságokat felelősségre vonják a felhasználók biztonságáért. De amikor a társaságok megkérdőjelezhető NDA-taktikákat folytatnak a biztonsági kutatókkal, hogy elrejtsék ezt az elszámoltathatóságot, a felhasználói biztonságot jelentős veszély fenyegetheti.

Tekintettel a közelmúltban tapasztalható nagymértékű adatsértésekre és a legfontosabb biztonsági szempontokra, amelyek a technológia egyik legnagyobb nevével foglalkoznak, a nyilvánosság sokkal nagyobb elszámoltathatóságot érdemel azoktól a társaságoktól, amelyekre információikkal megbíznak. A törvényhozók szerte a világon megkezdték az iparág visszaszorítását és olyan jogszabály-tervezetet dolgoztak ki, amelynek célja a fogyasztók védelme, miközben a technológiai vállalatokat elszámoltatják az érzékeny adatok kezeléséért. Az iparág vezető vezetői, mint például a Facebook Mark Zuckerberg, a Microsoft Bill Gates és az Apple Tim Cook mind elismerték, hogy jobb fogyasztói adatvédelemre van szükség, valamint nagyobb felelősségvállalásra van szükség a vállalatok számára. Ugyanakkor a fogyasztók egyre inkább bizalmatlanná válnak abban, hogy a vállalatok hogyan kezelik személyes adataikat.

Figyelembe véve ezt a tendenciát, zavarban van, hogy a Zoom kezeli a kiberbiztonsági kutató felelősségteljes felfedését a videokonferencia-alkalmazás számos súlyos sebezhetőségéről. Márciusban, a kiberbiztonsági kutató, Jonathan Leitschuh felvette a kapcsolatot a Zoom-szal, hogy értesítse a társaságot a Mac számítógépek videokonferencia-alkalmazásának három fő biztonsági réséről. A hiba mellett, amely lehetővé tette a rosszindulatú támadó számára a szolgáltatás megtagadásának támadását (DOS) a felhasználó gépe ellen, és egy olyan hibát, amely a Zoom alkalmazás eltávolítása után még a felhasználó Mac-jére telepített helyi webszervert is hagyott, Leitschuh feltárt egy súlyosan riasztó biztonsági rés, amely lehetővé tette a rosszindulatú harmadik fél számára, hogy távolról távolítsa el és automatikusan engedélyezze a gyanútlan Mac felhasználó mikrofonját és kameráját.

Leitschuh blogbejegyzésének értelmében a Zoom folyamatban lecsökkentette a sebezhetőség súlyosságát a folyamatban lévő tárgyalások során. Leitschuh a Zoom számára ipari szintű 90 napos ablakot adott a problémák megoldására, mielőtt a nyilvánosságra hozatalt folytatná. Még azt is eljuttatta a Zoom számára, amit „gyorsjavítás” -nak hívott, hogy ideiglenesen javítson a kamera sérülékenységén, miközben a vállalat befejezte az állandó javítás bevezetésének munkáját. A 90 napos nyilvánosságra hozatali határidőt megelőző ülésen a Zoom bemutatta Leitschuh-nak a javasolt javítási javaslatot. A kutató azonban gyorsan rámutatott, hogy a javasolt megoldás nem megfelelő, és különféle eszközökkel könnyen megkerülhető.

A 90 napos nyilvánosságra hozatali határidő végén a Zoom végrehajtotta az ideiglenes „gyorsjavítás” megoldást. Leitschuh a blogbejegyzésében írta:

"Végül a Zoom nem tudta gyorsan meggyőződni arról, hogy a jelentett biztonsági rés valóban létezik, és nem sikerült időben megoldaniuk a problémát az ügyfeleknek. Ennek a profilnak és egy ilyen nagy felhasználói bázissal rendelkező szervezetének proaktívabban kellett volna védelmeznie felhasználóit a támadásoktól."

A vállalati blogban a nyilvánosságra hozatalra adott kezdeti válaszában a Zoom megtagadta a videó sebezhetőségének súlyosságát, és „végül ... úgy döntött, hogy nem változtatja meg az alkalmazás funkcionalitását.” Bár (csak a nyilvánosságra hozatalt követő jelentős nyilvános visszajelzés után) A Zoom beleegyezett abba, hogy teljes mértékben eltávolítja a kizsákmányolást lehetővé tevő helyi webszervert. A vállalat kezdeti válasza, valamint Leitschuh beszámolói arról, hogy a Zoom hogyan választotta el a felelős nyilvánosságra hozatalát, azt mutatja, hogy a Zoom nem vette komolyan a kérdést, és kevés érdeke volt a megfelelő megoldás iránt. azt.

Maradj csendben

Zoom megkísérelte megvenni Leitschuh csendjét a kérdésről, lehetővé téve számára, hogy részesülhessen a vállalat hibajavító programjából, csak azzal a feltétellel, hogy aláírja a túl szigorú NDA-t. Leitschuh elutasította az ajánlatot. Zoom azt állította, hogy a kutatónak pénzügyi jutalmat kínáltak, de a „nem-nyilvánosságra hozatali feltételek” miatt elutasította. Amit Zoom nem felejtett el megemlíteni, hogy a speciális kifejezések azt jelentették, hogy a Leitschuh számára még akkor is tilos volna felfedni a sebezhetőségeket, még akkor is, ha azokat megfelelő módon megjavították. Ez arra ösztönözte a Zoom nullát, hogy javítson egy olyan sebezhetőséget, amelyet a vállalat jelentéktelenként elutasított.

Az NDA-k a gyakorlatban a bug bounty programokban, de a folyamatos hallgatás követelése a kutatótól megegyezik a nagy összegű pénz kifizetésével, és végül sem a kutató, sem a felhasználók, illetve a nyilvánosság számára nem jár előnye. Az NDA szerepe az, hogy ésszerű időt biztosítson a társaságnak a sebezhetőség kiküszöbölésére és kijavítására, még mielőtt a nyilvánosság elé kerülne és a kiberbűnözők potenciálisan kihasználnák. A vállalatok ésszerűen számítanak a nyilvánosságra nem hozatalra, miközben a sebezhetőséget kijavítják, de elsősorban a felhasználó érdekében, és nem elsősorban a közvélemény bírósága arcának megmentése érdekében. A kutatók viszont ésszerűen számítanak pénzbeli jutalomra, valamint erőfeszítéseik nyilvános elismerésére. A felhasználók ésszerűen elvárják, hogy azok a vállalatok, amelyek termékeit használják, mindent megtesznek a magánéletük védelme érdekében. Végül: a nyilvánosságnak ésszerű joga van megtudni, hogy léteznek biztonsági rések és mit tesznek a fogyasztók védelme érdekében az internetes fenyegetések ellen, és mit tehetnek a fogyasztók maguk védelme érdekében.

Ellentmondó prioritások

Zoomnak nehéz lett volna kezelnie ezt a helyzetet rosszabb körülmények között. A vállalat annyira koncentrált a zökkenőmentes felhasználói élmény létrehozásában, hogy teljesen elfelejtette a felhasználó magánéletének védelme kritikus fontosságát. „A videó a Zoom élményének központi eleme. A videó első platformon alapvető előnye van a világ minden tájáról származó felhasználóink ​​számára, és ügyfeleink azt mondták nekünk, hogy a Zoomot a súrlódásmentes video kommunikációs élményünkhöz választják ”- nyilatkozta a cég válaszában. A Zoom azonban egy helyi webszerver telepítésére fordult a háttérben a Mac számítógépeken, amelyek hatékonyan megkerülték a Safari böngésző biztonsági funkcióját, hogy megkönnyítsék a felhasználók számára ezt a „súrlódásmentes” videóélményt. A szóban forgó Safari biztonsági szolgáltatás felhasználói megerősítést igényelt, mielőtt elindítanák az alkalmazást Mac rendszeren. A Zoom megoldása erre az volt, hogy szándékosan megkerülje, és a felhasználó magánéletét veszélybe sodorja, hogy egy-két kattintást megmentse őket..

Csak a nyilvánosságra hozatalt követően, amelyet a nyilvánosságra hozatalt követően kapott, értelmes intézkedéseket tett. A vállalat kezdeti válasza arra utalt, hogy nem szándékozik megváltoztatni az alkalmazás funkcionalitását, még az alkalmazás által elszenvedett jelentős sebezhetőségek fényében sem. Úgy tűnik, hogy a vállalat hajlandó volt a felhasználói élményt a felhasználói biztonsággal szemben elsőbbséget élvezni. Noha a zökkenőmentes felhasználói élmény minden online alkalmazás számára kétségtelenül előnyös, ez természetesen nem a biztonság és a magánélet rovására történhet.

Eric S. Yuan társalapítója és vezérigazgatója később elismerte a társaság hitelét, hogy a Zoom rosszul kezeli a helyzetet, és elkötelezte magát amellett, hogy tovább haladjon. Yuan egy blogbejegyzésben kijelentette: „tévesen ítéljük meg a helyzetet, és nem reagáltunk elég gyorsan - és ez ránk tartozik. Teljes felelősséget vállalunk, és sokat tanultunk. Amit el tudok mondani, az az, hogy hihetetlenül komolyan vesszük a felhasználói biztonságot, és teljes szívvel elkötelezettek vagyunk a felhasználók által tett helyes cselekedetek iránt. "Hozzáteve azt is, hogy„ jelenlegi eszkalációs folyamatunk egyértelműen nem volt elég jó ebben az esetben. Lépéseket tettünk annak érdekében, hogy tovább javítsuk az összes jövőbeli biztonsági vonatkozású probléma fogadásának, fokozásának és bezárásának folyamatát. "

"tévesen ítéljük meg a helyzetet, és nem reagáltunk elég gyorsan - és ez ránk tartozik.

Végül azonban a valóság továbbra is fennmarad, ha a kutató beleegyezett a Noom által neki Zoom által előterjesztett feltételekbe, és megtiltotta az eredmények nyilvánosságra hozatalát, valószínűleg soha nem hallottunk semmit a sebezhetőségről. Még ennél is rosszabb, hogy a vállalat valószínűleg soha nem oldotta meg a problémát, így a felhasználók millióit veszélyeztetik a magánélet súlyos megsértése.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me